«Расширение ISO для нас стало стратегией, а не точкой назначения». Комплаенс менеджер по информационной безопасности Яндекс 360 о сертификации сервисов

Для Яндекс 360 сертификат ISO — это не просто внутренняя формальность. Он подтверждает, что все данные пользователей, от писем до событий в календаре, хранятся в сервисах, соответствующих международным стандартам безопасности.

ISO/IEC 27001 — это международный стандарт, который устанавливает требования к системе защиты конфиденциальности, целостности и доступности данных. Соответствие стандарту означает, что организация внедрила систему управления информационной безопасности и это позволяет ей обеспечивать надежную защиту данных пользователей и поддерживать высокий уровень доверия к своим сервисам.

В этом году Яндекс 360 расширил список сервисов, которые прошли сертификацию, теперь это Почта, Диск, Мессенджер, Телемост и Календарь. Комплаенс менеджер по информационной безопасности Яндекс 360 Люзия Алфёрова рассказывает, как команда расширяет сертификацию по ISO на новые продукты.

Почему сертификация — это важно

На сегодняшний день сервисами Яндекс 360 пользуются сотрудники более 150 тысяч разных компаний — от малого бизнеса до крупных корпораций. Ежедневно почтовые сервера обрабатывают свыше 250 млн писем, в Телемосте проводится более 100 тысяч встреч каждый день.

Такие масштабы — не только про высокие нагрузки, но и про высокую ответственность за сохранность и приватность информации, особенно в условиях, когда количество атак на онлайн-ресурсы ежегодно растет.

В 2024 году, по данным InfoWatch, количество скомпрометированных записей персональных данных выросло на 30% по сравнению с 2023 годом.

Яндекс 360 постоянно совершенствует системы безопасности своих сервисов, уделяя особое внимание защите пользовательских данных. Комплексный подход к безопасности мотивирует поддерживать высокий уровень доверия к сервисам. А именно:

• Проводить регулярный анализ рисков. Систематически оценивать: какие данные самые ценные, где могут быть слабые места, и куда «придут» хакеры первыми.
• Формализовать политики и процессы. Правила безопасности перестают быть устными договорённостями — всё фиксируется: кто, когда и при каких условиях получает доступы, как реагировать на инциденты, что делать с уволенными сотрудниками.
• Обеспечить обучение и вовлечённость всей команды. Защита информации становится делом не только команды безопасности, а буквально каждого: от руководителя до разработчика.
• Быть готовыми к инцидентам и постоянно совершенствоваться. В компании заранее проработаны алгоритмы действий на случай ЧП — кто ответит, кого предупредить, как быстро восстановиться. Такие процессы пересматриваются и улучшаются минимум раз в год, а при необходимости и чаще.

Нам было важно упростить работу отделам закупок наших клиентов. Теперь вместо многостраничных ТЗ можно просто сказать: «У нас есть официальный сертификат и внешняя оценка — можем переслать вам отчёт под NDA».

Как мы проходили сертификацию

Расширять ISO на новые продукты — это не «проштамповать документ», а гармонично встроить международные требования в привычные и уже эффективные процессы компании. Мы всегда уделяли внимание безопасности, а теперь в дополнение к собственной уверенности получили независимое внешнее подтверждение: всё работает так, как нужно. Хорошие новости — второй раз идти по этому пути уже проще и даже интереснее.

Подготовка к ISO 27001 фактически стала для нас аудитом лучших практик:

• Для каждого сервиса мы обновили и дополнили инвентаризацию ключевых активов, чтобы еще раз убедиться — все актуальные доступы и процессы под контролем.
• Системно прошли по всем контролям стандарта и оценили, где можно усилить процессы и что стоит масштабировать на новые продукты.
• Оптимизировали регулярную работу по управлению рисками: командно собирались, обсуждали гипотетические сценарии и заранее готовили планы реагирования — не потому что «так требует стандарт», а потому что это давно стало частью нашей культуры.

В ходе аудита многие вопросы были основаны на реальных сценариях. Например, «Как сотрудник получает или теряет доступ после смены роли?», «Как быстро команда реагирует на подозрительную активность?». Это позволило показать реальную работу процесса.

Аудиторы обращали внимание на детали, которые в повседневной рутине могут оставаться незамеченными. Например, насколько понятно оформлены инструкции для новых сотрудников или как задокументированы нестандартные ситуации — такие вещи часто становятся поводом для небольших улучшений. Команды задавали встречные вопросы, делились своими решениями, а аудитор давал рекомендации на основе своего опыта. Такой обмен всегда обогащает обе стороны.

Главное наблюдение: аудит — не формальный экзамен, а честная проверка, насколько твоя безопасность работает не только на бумаге, но и по-настоящему. А ещё — повод для инсайтов и улучшений, о которых команда без такого «стресса» скорее всего не задумалась бы.

Были моменты, которые нас приятно удивили. Например:

• Новые сценарии атаки. В новых сервисах мы расширили карту возможных угроз, обратили внимание на специфику событий, интеграций, хранения и работы с API.
• Обучение на перемотке. Блиц-обучение новым командам: объяснить, почему автоматическое отключение доступов не формальность, какие логи обязаны храниться, зачем ставить ограничения на API от сторонних разработчиков.
• Инициативность сотрудников. В процессе внутренней проверки сотрудники из новых команд предложили собственные сценарии угроз, которые были приняты во внимание и отработаны в процессе подготовки к сертификации.

В чем промежуточная победа и где новые горизонты

В этот раз мы подтвердили действующую сертификацию и включили в нее новые сервисы. Это даёт клиентам и партнёрам дополнительные гарантии: всё больше продуктов Яндекс 360 не просто работают по единым требованиям безопасности, а подтверждают это сертификатами, признанными на международном уровне.

Когда крупная компания подключается к сервисам, её команда, как правило, задает десятки вопросов по безопасности: «Есть ли у вас инцидент-менеджмент? Храните ли логи доступа? Кто отвечает за бывших сотрудников?». Раньше на такие вопросы приходилось собирать ответы вручную и отдельно высылать техзадание. Сейчас всё проще — достаточно отправить копию сертификата ISO 27001.

Вот какие выгоды получает бизнес:

• Повышенное доверие со стороны заказчиков и партнёров. У новых сервисов появился официальный «знак доверия» — ISO 27001. Его признают даже самые требовательные ИБ-департаменты. На пилотах и тендерах можно сразу подтвердить: сервисы сертифицированы, риски минимальны. Для многих компаний это не обязательное требование, но весомый аргумент при выборе подрядчика.
• Упрощённое прохождение проверок и экономия ресурсов. B2B-компании сегодня сами проходят множество аудит-процедур: внутренняя служба ИБ, внешние аудиторы, комплаенс-контроль. С нашим сертификатом клиенты получают готовый «бустер»: можно быстрее закрывать вопросы по безопасности, подшивать наш аудит к своим отчётам и экономить время специалистов.
• Опытная команда и готовность к новым челленджам. Критическая честность: пока под зонтом сертификата только часть сервисов. У нас уже есть прочный опыт интеграции стандартов информационной безопасности в реальные, развивающиеся продукты. Впереди — новые этапы сертификации и регулярное совершенствование процессов: для нас это не форс-мажор, а естественный и привычный путь развития.
• Прозрачность процессов и прогнозируемость. Мы честно рассказываем, какие сервисы уже включены в область сертификации ISO 27001, и открыто делимся планами по дальнейшему расширению охвата новых продуктов B2B-клиенты получают прозрачную информацию о статусе сертификации и динамике развития защиты всех платформ.

ISO как системный подход: выводы и планы на будущее

Расширение ISO для нас стало стратегией, а не точкой назначения. Путь к полной сертификации — это игра в долгую, где ценится каждое улучшение и командная честность.

Что получилось хорошо

• Оперативность — команды быстро реагировали на запросы, показывали данные и демонстрировали работу процессов прямо «вживую».
• Вовлечённость — аудиторы отметили общий настрой, когда сотрудники разных отделов разбираются в темах безопасности и готовы поддержать коллег.
• Открытость к доработкам — вся команда воспринимает комментарии аудитора как возможность для улучшения, а не как повод для оправданий.

Мы не утверждаем, что сертификация — гарантия «абсолютного совершенства». Это независимое подтверждение от профессиональных аудиторов, что наши процессы соответствуют международным стандартам.

Безопасность уже давно является нашим приоритетом и реализована на высоком уровне во всех продуктах, независимо от наличия формального сертификата. Мы продолжаем постепенно включать новые сервисы в область сертификации, чтобы повысить прозрачность и доверие. Поэтому B2B-клиенты могут быть уверены: уровень защиты одинаково высок и для сертифицированных сервисов, и для продуктов, которые только готовятся к прохождению аудита.